VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

De ondergetekenden:

I. Sectorinstituut Transport en Logistiek, gevestigd en xxxxxxxxxxxxxxx xx 0000 PE, Gouda aan de Xxxxxxxxxxxxx 00, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 28084785, te dezen rechtsgeldig vertegenwoordigd door haar directeur a.i., de heer X.X. xxx Xxxxxx, hierna te noemen ‘het Sectorinstituut’;

hierna te noemen ‘het Sectorinstituut’; en

II. [Statutaire bedrijfsnaam], gevestigd [postcode en plaats], [adres], te dezen rechtsgeldig vertegenwoordigd door [naam, evt. functie], hierna te noemen ‘Verwerker’;

Het Sectorinstituut en Verwerker hierna gezamenlijk aangeduid als ‘Partijen’ en afzonderlijk als meest gerede ‘Partij’;

In aanmerking nemende:

A. dat tussen het Sectorinstituut en Verwerker, een overeenkomst betreffende het door Verwerker voor het Sectorinstituut verrichten van diensten op het gebied van het opleiden van BBL-leerlingen en het uitvoeren en registreren van het administratief beheer voor het organiseren van opleidingen is gesloten met als ingangsdatum 1 januari 2024;

B. dat het Sectorinstituut Persoonsgegevens ter beschikking wenst te stellen aan Verwerker om deze ten behoeve van haar te verwerken;

C. dat Partijen wettelijk verplicht zijn afspraken te maken en vast te leggen met betrekking tot de verwerking van Persoonsgegevens door Verwerker.

D. dat Verwerker op grond van en in verband met de in onder A. genoemde overeenkomst opgenomen dienstverlening van het Sectorinstituut kennis krijgt van Persoonsgegevens, welke Persoonsgegevens door Verwerker in verband met de uitvoering van de onder A. genoemde overeenkomst, ten behoeve van het Sectorinstituut worden verwerkt, zonder dat Verwerker onder het rechtstreekse gezag staat van het Sectorinstituut;

E. de bepalingen van deze Verwerkersovereenkomst vóór gaan op alle andere afspraken die tussen Partijen gelden en betrekking hebben op de verwerking van Persoonsgegevens door Verwerker voor het Sectorinstituut.

F. dat het Sectorinstituut ten aanzien van de verwerking van Persoonsgegevens als Verwerkingsverantwoordelijke in de zin van artikel 4 sub 7 van de Algemene Verordening Gegevensbescherming (AVG) is aan te merken.

G. Verwerker ten aanzien van de werkzaamheden genoemd onder A. als verwerker in de zin van artikel 4 sub 8 AVG is aan te merken.

H. Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28 lid 3 AVG, hun afspraken over de Verwerking van Persoonsgegevens vast leggen die van toepassing zijn op hun relatie in verband met de genoemde activiteiten in opdracht en ten behoeve van het Sectorinstituut.

ZIJN OVEREENGEKOMEN ALS VOLGT:

Artikel 1 Definities

1.1 Naast de wettelijke definities hebben de volgende termen de volgende betekenis:

“AP” Autoriteit Persoonsgegevens, ook College Bescherming Persoonsgegevens voorheen genoemd, de toezichthoudende autoriteit voor de naleving van de geldende privacywetgeving;

“AVG” Algemene Verordening Gegevensbescherming, voluit: Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Xxxxxxxxx 95/46/EG;

“Betrokkene” de natuurlijke persoon waarop de Persoonsgegevens die

Verwerker verwerkt voor het Sectorinstituut (Verwerkingsverantwoordelijke) en/of haar opdrachtgevers in het kader van de uitvoering van de Overeenkomst betrekking hebben;

“Beveiligingsincident” een inbreuk op de beveiliging die per ongeluk of op onrechtmatige

wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;

“Bijlage” Iedere bijlage bij deze Verwerkersovereenkomst, welke een onlosmakelijk deel daarvan uitmaakt;

"Derde" een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch het Sectorinstituut (Verwerkingsverantwoordelijke), noch de Verwerker, noch de personen die onder rechtstreeks gezag van het Sectorinstituut of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken;

“Diensten” Alle diensten die Verwerker aan het Sectorinstituut verleent, zoals omschreven in de Overeenkomst;

“EER” Europese Economische Ruimte;

‘’Gegevensbeschermings- alle op de verwerking van de Persoonsgegevens onder deze wetgeving Verwerkersovereenkomst van toepassing zijnde wetgeving,

waaronder de AVG en de Uitvoeringswet AVG (‘UAVG’).

“(hoofd)Overeenkomst” de tussen Partijen gesloten Overeenkomst terzake van het door

Verwerker voor het Sectorinstituut verrichten van diensten het opleiden van BBL-leerlingen en het uitvoeren en registreren van het administratief beheer voor het organiseren van opleidingen, met als ingangsdatum 1 januari 2021;

“Persoonsgegevens” alle informatie over een geïdentificeerde of identificeerbare

natuurlijke persoon, als bedoeld in artikel 4 sub 1 AVG, die Verwerker ontvangt van of verwerkt voor het Sectorinstituut in het kader van de uitvoering van de Overeenkomst;

“Sub-verwerker” een partij die door Verwerker wordt ingeschakeld voor de uitvoering

van de Overeenkomst en de daarbij horende verwerking van Persoonsgegevens;

“Verwerken” elke handeling of elk geheel van handelingen met betrekking tot

Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens, als bedoeld in artikel 4 sub 2 AVG;

“Verwerkersovereenkomst” de onderhavige overeenkomst inclusief alle bijlagen die

onlosmakelijk hieraan zijn verbonden;

“Wbp” Wet bescherming persoonsgegevens (geldig tot 25 mei 2018);

Artikel 2 Algemeen

2.1 Het Sectorinstituut wordt ten aanzien van de Persoonsgegevens beschouwd als verwerkingsverantwoordelijke in de zin van de AVG. Verwerker is verwerker in de zin van de AVG.

2.2 Verwerker en het Sectorinstituut (Verwerkingsverantwoordelijke) verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

Artikel 3 Relatie tot de Overeenkomst

3.1 De Verwerkersovereenkomst maakt integraal onderdeel uit van de tussen Partijen gesloten Overeenkomst en is te beschouwen als een aanvulling daarop dan wel wijziging daarvan.

3.2 De Verwerkersovereenkomst gaat in op de ingangsdatum van de Overeenkomst, zijnde 1 januari 2024 of als dat eerder is, op het moment dat Verwerker de beschikking krijgt over Persoonsgegevens. De Verwerkersovereenkomst eindigt op het moment dat door Verwerker geen Persoonsgegevens meer worden verwerkt in het kader van de uitvoering van de Overeenkomst.

3.3 Verwerker zal binnen 14 dagen na afloop of (tussentijdse) beëindiging van de Overeenkomst alle door haar verwerkte Persoonsgegevens, die verband houden met de dienstverlening aan het Sectorinstituut, overdragen aan het Sectorinstituut of, uitsluitend op schriftelijk verzoek van het Sectorinstituut, vernietigen en schriftelijk aan het Sectorinstituut bevestigen dat alle Persoonsgegevens terug zijn overgedragen dan wel zijn vernietigd. Dit geldt voor (op) alle (plaatsen) door Verwerker verwerkte Persoonsgegevens, zoals bijvoorbeeld maar niet beperkt tot (kopieën van) fysieke documenten en (kopieën van) elektronisch vastgelegde Persoonsgegevens (in productiesystemen, mailboxen en fileservers enz.).

3.4 Het Sectorinstituut kan een vertegenwoordiger aanwijzen om de vernietiging te controleren en Partijen komen overeen dat het Sectorinstituut tot controle bij Verwerker kan overgaan.

Artikel 4 De Verwerking van Persoonsgegevens

4.1 Verwerker verwerkt de Persoonsgegevens overeenkomstig de Gegevensbeschermingswetgeving en slechts in het kader van de uitvoering van de Overeenkomst, in opdracht van het Sectorinstituut en in overeenstemming met de Overeenkomst en Verwerkersovereenkomst en de specifieke verwerkingsinstructies die in Bijlage 1 zijn opgenomen of op andere wijze aan de Verwerker zijn bekend gemaakt.

4.2 Verwerker zal de Persoonsgegevens uitsluitend verwerken op basis van de schriftelijke instructies van het Sectorinstituut in het kader van de uitvoering van de Overeenkomst en de verleende Diensten, dan wel in verband met een wettelijke verplichting.

4.3 Verwerker zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in opdracht van het Sectorinstituut in het kader van de uitvoering van de Overeenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

Artikel 5 Beveiliging persoonsgegevens

5.1 Het Sectorinstituut zal in overeenstemming met de geldende wettelijke regels de beveiliging van de Persoonsgegevens waarborgen en daartoe passende technische en organisatorische maatregelen treffen.

5.2 Verwerker zal in overeenstemming met de geldende wettelijke regels technische en organisatorische maatregelen treffen, in stand houden en zo nodig aanpassen om een op het risico afgestemd beveiligingsniveau te waarborgen. Om hieraan te kunnen voldoen zal het Sectorinstituut Verwerker informeren over de betrouwbaarheidseisen die op de verwerking van toepassing zijn en tijdig de benodigde informatie verstrekken in geval van wijzigingen in de verwerking van Persoonsgegevens.

5.3 Verwerker zal bij het treffen van beveiligingsmaatregelen rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

5.4 Indien het Sectorinstituut een beoordeling wenst uit te voeren van een beoogde verwerkingsactiviteit in het kader van de uitvoering van de Overeenkomst zal Verwerker alle redelijke medewerking verlenen om deze beoordeling in overeenstemming met de geldende wet- en regelgeving uit te kunnen voeren. Tevens zal Verwerker alle redelijke medewerking verlenen indien een voorafgaande raadpleging van de AP nodig is op grond van de geldende privacywetgeving. Het Sectorinstituut zal Verwerker de in dit kader gemaakte redelijke kosten vergoeden.

5.5 In Bijlage 2 zijn de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen die Verwerker treft. Deze maatregelen worden periodiek geëvalueerd en indien nodig aangepast. Het Sectorinstituut erkent dat zij de in Bijlage 2 opgenomen afspraken voldoende acht voor een passende beveiliging van de Persoonsgegevens in overeenstemming met de geldende wettelijke verplichtingen.

Artikel 6 Controle

6.1 Het Sectorinstituut heeft het recht om maximaal één maal per jaar op eigen kosten door onafhankelijke deskundigen een audit te laten uitvoeren inzake de verwerking van Persoonsgegevens door Verwerker ter controle op de naleving van deze Verwerkersovereenkomst. Verwerker zal alle redelijke medewerking verlenen aan een audit,

waaronder het verlenen van toegang tot gebouwen en databases en het ter beschikking stellen van alle relevante informatie, waarbij het Sectorinstituut zich zal confirmeren aan een schriftelijke geheimhoudingsovereenkomst.

6.2 Verwerker zal in overleg met het Sectorinstituut de aanbevelingen ter verbetering van de onafhankelijke deskundigen zo spoedig mogelijk uitvoeren. Indien de aanpassingen het gevolg zijn van gewijzigde inzichten of wetgeving dan zal Verantwoordelijke de redelijke kosten voor deze aanpassingen vergoeden. Indien de aanpassingen het gevolg zijn van een tekortkoming in de nakoming van de beveiligingseisen uit de Verwerkingsovereenkomst dan zal Verwerker deze kosten voor eigen rekening nemen.

6.3 In geval van een onderzoek door de AP of een andere bevoegde autoriteit zal Verwerker alle redelijke medewerking verlenen en het Sectorinstituut zo snel mogelijk informeren. Partijen zullen met elkaar in overleg treden over de wijze van optreden en de verdeling van de kosten.

6.4 Verwerker zal op verzoek van het Sectorinstituut medewerking verlenen aan een Data Privacy Impact Assessment van het Sectorinstituut, tegen redelijke vergoeding van de door Verwerker te maken en nog te maken kosten.

Artikel 7 Geheimhouding

7.1 Verwerker is verplicht tot geheimhouding, onverminderd eventuele andere contractuele afspraken tussen Partijen, van de Persoonsgegevens waarvan zij in het kader van de uitvoering van de Overeenkomst kennis krijgt, behoudens voor zover enig wettelijk voorschrift tot openbaarmaking en/of afgifte daartoe verplicht.

7.2 Het is Verwerker, onverminderd het bepaalde in de artikelen 7.1 en 8.1 uitdrukkelijk niet toegestaan de Persoonsgegevens aan derden te verstrekken, op welke wijze dan ook, tenzij met de voorafgaande schriftelijke goedkeuring van het Sectorinstituut, of behoudens voor zover enig wettelijk voorschrift tot openbaarmaking en/of afgifte daartoe verplicht.

7.3 Verwerker garandeert dat hij al zijn medewerkers en Derden die zich bezighouden met de verwerking van Persoonsgegevens op de hoogte zal stellen van de vertrouwelijke aard van de Persoonsgegevens en informatie. Daarnaast garandeert Verwerker dat al deze personen of partijen tegenover de Verwerker gebonden zijn aan dezelfde geheimhoudingsverplichtingen als de Verwerker volgens deze Verwerkersovereenkomst.

Artikel 8 Informatieverstrekking/meldplicht datalekken

8.1 Verwerker informeert het Sectorinstituut onmiddellijk, maar in ieder geval binnen 24 uur, nadat Xxxxxxxxx kennis heeft genomen van een Beveiligingsincident (onder meer in verband met de meldplicht datalekken) met betrekking tot de verwerking van Persoonsgegevens. In geval van een Beveiligingsincident zal Verwerker een beschrijving geven van het incident, de gevolgen daarvan en van de maatregelen om de gevolgen te verhelpen. Tevens zal Xxxxxxxxx haar medewerking verlenen aan het Sectorinstituut en de instructies van het Sectorinstituut met betrekking tot dit incident opvolgen. Dit om het Sectorinstituut in staat te stellen een adequaat onderzoek te verrichten naar het incident, een correcte reactie te formuleren en passende vervolgstappen te nemen ten aanzien van het incident. Als een onmiddellijke melding niet mogelijk is stelt Verwerker het Sectorinstituut ten minste binnen 24 uur na ontdekking van het incident op de hoogte zodat het Sectorinstituut kan voldoen aan een termijn die wordt opgelegd door een bevoegde instantie en een termijn die van toepassing is op grond van wet- en regelgeving.

8.2 Voorts informeert Verwerker het Sectorinstituut onverwijld en voorafgaand aan de verstrekking indien een daartoe bevoegde (overheids)instantie een op de wet gebaseerd verzoek tot verstrekking van Persoonsgegevens heeft gedaan. Een en ander teneinde voorafgaande aan de verstrekking te overleggen tussen Partijen over de gegevensverstrekking (wijze, door wie verstrekken enz.).

8.3 Verwerker zal het Sectorinstituut in geval van een Beveiligingsincident op de hoogte houden van eventuele nieuwe ontwikkelingen rond het incident en van de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen. Verwerker zal alle medewerking verlenen aan het Sectorinstituut om het beveiligingsincident te beoordelen en te kunnen voldoen aan haar eventuele wettelijke meldplicht en haar eventuele plicht tot het informeren van Betrokkenen.

8.4 Partijen leggen hun afspraken over de informatie-uitwisseling in verband met Beveiligingsincidenten vast in een “Procedure Meldplicht Datalekken” in Bijlage 3. Alle incidenten als bedoeld in artikel 8.1 worden door Verwerker gemeld bij het MELDPUNT DATALEKKEN van het Sectorinstituut op het mailadres als genoemd in Bijlage 3 bij deze Verwerkersovereenkomst bij de genoemde contactpersoon. Alle andere mededelingen uit hoofde van dit artikel 8 worden (ook) gericht aan de contactpersoon bij het Sectorinstituut als genoemd in Bijlage 3 bij deze Verwerkersovereenkomst. Deze bijlage kan te allen tijde in overleg door Partijen worden gewijzigd. De bijlage zal in ieder geval worden aangepast indien de regelgeving omtrent de Meldplicht Datalekken of de uitleg daarvan wijzigt.

8.5 Melding van het incident bij de AP geschiedt door het Sectorinstituut. Verwerker zal niet zonder toestemming van het Sectorinstituut het incident melden aan de AP.

8.6 De term ‘Beveiligingsincident’ als gebruikt in dit artikel 8 omvat, maar is niet beperkt tot: (i) elke ongeautoriseerde of onrechtmatige verwerking, verwijdering of verlies van Persoonsgegevens; (ii) elke inbreuk op de beveiliging en/of vertrouwelijkheid zoals bepaald in deze Verwerkersovereenkomst, die leidt tot een onrechtmatige Verwerking, verwijdering of verlies van Persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.

8.7 Verwerker heeft een procedure geïmplementeerd die hem in staat stelt om het Sectorinstituut direct te informeren ten aanzien van een incident, het incident met het Sectorinstituut te onderzoeken, en het incident op te lossen. Verwerker verstrekt aan het Sectorinstituut op verzoek een afschrift van de betreffende procedure.

8.8 Het is Verwerker niet toegestaan enige mededeling te doen aan derden en/of de media. Eventuele vragen worden onmiddellijk doorgeleid aan het Sectorinstituut.

8.9 Verwerker zal het Sectorinstituut onmiddellijk conform artikel 9 op de hoogte stellen van een klacht of verzoek van een betrokkene met betrekking tot de Verwerking van Persoonsgegevens door Verwerker.

8.10 De kosten die Verwerker moet maken in verband met het onderzoeken, verhelpen, bij het Sectorinstituut melden en dergelijke van een (mogelijk) incident blijven/komen voor rekening van Xxxxxxxxx.

Artikel 9 Verzoeken van betrokkenen

9.1 Indien Verwerker een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, gegevenswisseling, verwerkingsbeperking, overdracht van de Persoonsgegevens, stuurt Verwerker dat verzoek onmiddellijk, uiterlijk binnen twee dagen, door naar het Sectorinstituut.

9.2 Verwerker verleent het Sectorinstituut alle redelijke medewerking om ervoor te zorgen dat het Sectorinstituut binnen de wettelijke termijnen kan voldoen aan de verplichtingen op grond van de geldende wet- en regelgeving. De redelijke kosten voor deze medewerking zijn verdisconteerd in de (hoofd)Overeenkomst.

Artikel 10 Uitbesteding werkzaamheden (sub-verwerkers)

10.1 Het is Verwerker zonder voorafgaande schriftelijke toestemming van het Sectorinstituut niet toegestaan om in het kader van de Overeenkomst het Verwerken van de Persoonsgegevens uit te besteden aan enige derde. Indien Verwerker van het Sectorinstituut toestemming krijgt voor het inschakelen van een of meerderde subverwerker(s) dient Verwerker met de subverwerker(s) een overeenkomst te sluiten waarbij aan de subverwerker(s) tenminste dezelfde verplichtingen, waaronder de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen

m.b.t. tot de verwerking van de Persoonsgegevens, worden opgelegd als die waaraan Xxxxxxxxx uit hoofde van deze Verwerkersovereenkomst moet voldoen. Ook in geval van inschakeling van (een) subverwerker(s) blijft Verwerker jegens het Sectorinstituut te allen tijde onverkort verantwoordelijk voor het verwerken van Persoonsgegevens conform deze Verwerkersovereenkomst, alsmede aansprakelijk voor eventuele schade bij niet nakoming.

Artikel 11 Toegang tot de persoonsgegevens

11.1 De zeggenschap over de Persoonsgegevens blijft volledig berusten bij het Sectorinstituut. Op verzoek van het Sectorinstituut zal Verwerker alle of een gedeelte van de Persoonsgegevens in gangbaar formaat ter beschikking stellen aan het Sectorinstituut. De kosten hiervoor zijn verdisconteerd in de (hoofd)Overeenkomst.

11.2 Verwerker zal ervoor zorgdragen dat het Sectorinstituut te allen tijde toegang behoudt tot de Persoonsgegevens en zal in geval van een geschil tussen Partijen deze toegang niet blokkeren. Verwerker zal maatregelen treffen om ervoor te zorgen dat het Sectorinstituut ook in geval van faillissement of surséance van betaling van Verwerker toegang blijft houden tot de Persoonsgegevens.

Artikel 12 Publiciteit

12.1 Het is Verwerker niet toegestaan zonder schriftelijke toestemming van het Sectorinstituut op enige wijze in de publiciteit te treden met betrekking tot de Overeenkomst dan wel de Verwerkersovereenkomst, dan wel gebruik te maken van de naam, het logo en/of de huisstijl van het Sectorinstituut voor reclamedoeleinden of andere publiciteitsuitingen.

Artikel 13 Aansprakelijkheid en vrijwaring

13.1 Verwerker is jegens het Sectorinstituut aansprakelijk voor alle schade voortvloeiend uit het niet of niet volledig nakomen van haar verplichtingen uit deze Verwerkersovereenkomst en/of het in strijd handelen met de bij of krachtens de Wbp/Gegevensbeschermingswetgeving gegeven voorschriften.

13.2 Indien Verwerker Persoonsgegevens verwerkt of heeft verwerkt in strijd met het in deze Verwerkersovereenkomst bepaalde, of de in artikel 8.1 genoemde verplichting niet, niet adequaat of niet tijdig nakomt verbeurt Verwerker aan het Sectorinstituut een dadelijk zonder ingebrekestelling opeisbare boete van EUR 50.000 per overtreding, onverminderd het recht van het Sectorinstituut op schadevergoeding als bedoeld in artikel 13.1.

13.3 Verwerker vrijwaart het Sectorinstituut voor alle schade waaronder begrepen kosten, boetes en/of dwangsommen van of namens de AP en/of andere bevoegde autoriteiten die aan Verwerkingsverantwoordelijke worden opgelegd wegens schending van artikel 13.1 door Verwerker.

Artikel 14 Medewerkers Verwerker

14.1 Verwerker mag de Persoonsgegevens slechts aan die medewerkers binnen haar organisatie verstrekken die de Persoonsgegevens voor het verrichten van hun werkzaamheden in het kader van de uitvoering van de Overeenkomst nodig hebben.

14.2 De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien gelden onverminderd voor haar medewerkers, die kennis krijgen van de Persoonsgegevens onder het gezag van Verwerker. Verwerker dient de verplichtingen uit de Verwerkersovereenkomst aan haar medewerkers op te leggen.

Artikel 15 Verwerken buiten EER

15.1 De Persoonsgegevens mogen uitsluitend binnen de EER worden verwerkt. Voor het buiten de EER verwerken van Persoonsgegevens is voorafgaande schriftelijke toestemming van het Sectorinstituut vereist waaraan Sectorinstituut nadere voorwaarden mag verbinden.

Artikel 16 Duur en Beëindiging

16.1 Deze Verwerkersovereenkomst treedt in werking op dezelfde (ingangs)datum als de Overeenkomst en eindigt van rechtswege bij beëindiging van de Overeenkomst. Verplichtingen met een duurkarakter blijven tussen partijen in stand, zoals de geheimhoudingsverplichting uit artikel 7 van de Verwerkersovereenkomst.

16.2 Verwerker zal bij beëindiging van de Overeenkomst op verzoek van het Sectorinstituut en tegen vergoeding van de redelijke kosten de Persoonsgegevens in een gangbaar formaat ter beschikking stellen aan het Sectorinstituut of aan een door het Sectorinstituut aangewezen Derde. Kosten van Verwerker zijn verdisconteerd in de (hoofd) Overeenkomst.

16.3 Verwerker zal op schriftelijke verzoek zorgen voor overdracht van de Persoonsgegevens aan het Sectorinstituut alsmede de nog aanwezige Persoonsgegevens vernietigen, tenzij een langere opslag wettelijk verplicht is. Verwerker zal tevens zorgdragen voor vernietiging van de Persoonsgegevens bij de Sub-Verwerkers.

Artikel 17 Wijziging verwerkersovereenkomst en rangorde

17.1 Bij wijzigingen in de Diensten, regelgeving of andere relevante omstandigheden die van invloed zijn op de verwerking van de Persoonsgegevens, zullen Partijen in overleg treden over een eventueel benodigde wijziging van de Verwerkersovereenkomst. De wijzigingen in de tekst van deze Verwerkersovereenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.

17.2 Wijzigingen in de Bijlagen kunnen door Partijen op ieder moment schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.

Artikel 18 Toepasselijk recht

18.1 Op deze Verwerkersovereenkomst (en de uitvoering daarvan) is uitsluitend Nederlands Recht van toepassing. Op het buiten Nederland, maar in een ander land van de EER verwerken van persoonsgegevens, is op de verwerking van deze gegevens de (privacy)wetgeving van dat betreffende land van toepassing. Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.

DEZE OVEREENKOMST IS OPGEMAAKT IN TWEEVOUD EN RECHTSGELDIG NAMENS ELK DER PARTIJEN OP ELKE BLADZIJDE GEPARAFEERD EN ONDERTEKEND EN ELK DER PARTIJEN HEEFT ÉÉN EXEMPLAAR.

Handtekening:		Handtekening:
Datum:	………………...	Datum:	………………...
Plaats:	Gouda	Plaats:	…………………
Sectorinstituut:	Sectorinstituut Transport en Logistiek	Verwerker:	[statutaire bedrijfsnaam]
Naam:	de heer X.X. xxx Xxxxxx	Naam:	[naam]
Functie:	Directeur a.i.	Functie:	[functie]

Bijlage 1 Opdrachtverwerking

Voor het uitvoeren van het administratief beheer voor het organiseren van opleidingen voor leerlingen, die hebben gekozen voor de Beroeps Begeleidende Leerweg (BBL) in de sector transport en logistiek. De leerlingen en opleidingen worden via het Sectorinstituut Transport en Logistiek en Gilde BT geregistreerd in de Cursus Basis Applicatie (CBA).

Via xxx.xxx-xxxxxxxxx.xx worden de opleidingen door de Verwerker op een locatie en tijdstip ingepland, om vervolgens de leerlingen in te schrijven voor de ingeplande opleidingen.

De Verwerker kan tevens eventuele documenten aanleveren ter verantwoording van de facturering van de rijopleidingen en de Verwerker kan opmerkingen registreren voor de afstemming over het planningsproces met Gilde BT en het Sectorinstituut Transport en Logistiek.

De Verwerker gebruikt tenslotte de in de CBA geregistreerde gegevens van de leerling, waaronder het Burgerservicenummer, voor het aanvragen van een praktijkexamen of toets bij het Centraal Bureau Rijvaardigheidsbewijzen (CBR).

Bijlage 2 Technische en organisatorische beveiligingsmaatregelen

Verwerker is gehouden de informatiebeveiliging van persoonsgegevens die onder verantwoordelijkheid van het Sectorinstituut door Verwerker verwerkt worden, in lijn met de Gegevensbeschermingswetgeving in te richten en de beveiligingsrisico’s aantoonbaar te beheersen. Hiertoe behoren tenminste de ondergenoemde technische en organisatorische beveiligingsmaatregelen:

1. De door Verwerker ingerichte informatiebeveiliging bestaat uit een samenhangend geheel van organisatorische, procesmatige en technische maatregelen en de getroffen beveiligingsmaatregelen zijn in overeenstemming met de risico’s, de stand der techniek en het belang van het Sectorinstituut.

2. Verwerker zal het Sectorinstituut voorafgaand aan de sluiting van deze verwerkersovereenkomst inzage verstrekken in het bij Verwerker geldende informatiebeveiligingsbeleid en de procedures die in dit kader worden gevolgd.

3. Verwerker heeft binnen haar eigen organisatie een functionaris aangewezen in de rol van Security Officer/Functionaris voor de gegevensbescherming (FG). Deze medewerker is voor het Sectorinstituut centraal aanspreekpunt bij potentiële beveiligingsrisico’s en de coördinatie van ernstige beveiligingsincidenten in de dienstverlening. Deze functionaris is gemachtigd de noodzakelijke maatregelen te initiëren teneinde beveiligingsrisico’s te reduceren tot een aanvaardbaar niveau.

4. Verwerker zal het Sectorinstituut informeren over de locatie van de data centers die Verwerker gebruikt in het kader van de uitvoering van de bovenliggende Overeenkomst en de diensten die zij uit hoofde van deze Overeenkomst aan het Sectorinstituut levert, alsmede de locatie van de data centers die Verwerker (eventueel) gebruikt als uitwijklocatie.

5. Verwerker beschikt over een adequaat en passend beleid inzake de back-up, restore en recovery van de voor de dienstverlening benodigde software en data en draagt zorg voor adequate fysieke bescherming van- en beheersing van de toegang tot de software en data in de back-up.

6. Verwerker heeft adequate fysieke en logische toegangsbeheersingsmaatregelen getroffen ter voorkomen van ongeautoriseerde toegang tot de persoonsgegevens.

7. Er wordt uitsluitend toegang verleend tot de Persoonsgegevens aan personeel van Verwerker en door Verwerker ingehuurd personeel, verder “medewerkers” genoemd, en uitsluitend wanneer hier een legitieme noodzaak toe bestaat vanuit de in de Overeenkomst beschreven dienstverlening en de functieomschrijving van medewerkers.

8. Fysieke en logische toegang tot de Persoonsgegeven wordt verleend middels een formeel proces en de verleende toegangsrechten worden geregistreerd, periodieke gecontroleerd en zo nodig herzien.

9. Medewerkers die onder verantwoordelijkheid van Verwerker de toegang verkrijgen tot gevoelige Persoonsgegevens of een grote verzameling van minder gevoelige Persoonsgegevens, overleggen voor aanvang van de werkzaamheden een Verklaring Omtrent het Gedrag (VoG) aan Verwerker.

10. Tevens is met de in de vorige paragraaf bedoelde medewerkers voor aanvang van de werkzaamheden een overeenkomst gesloten waarin bepaald is:

i.dat de verwerking van Persoonsgegevens uitsluitend plaatsvindt in het kader van de door Verwerker geleverde diensten en voor zover dat noodzakelijk is voor het uitoefenen van

de functie;

ii.dat strikte geheimhouding wordt betracht ten aanzien van de verwerkte Persoonsgegevens;

iii.dat er kennis is genomen van de bij Verwerker geldende regels en voorschriften ten aanzien van de verwerking en beveiliging van Persoonsgegevens;

iv.dat het niet volgen van de regels en voorschriften, in geval van opzet of grove nalatigheid kan leiden tot door Verwerker opgelegde sancties of schadevergoedingen.

11. Medewerkers krijgen door Verwerker geschikte training en regelmatige bijscholing aangeboden over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met Persoonsgegevens.

12. Iedere vorm van toegang, modificatie, duplicatie en verwijdering van de Persoonsgegevens wordt door Verwerker op zodanige wijze vastgelegd dat de uitgevoerde transacties gedurende een periode van 6 maanden herleidbaar zijn tot de medewerkers die deze transactie hebben uitgevoerd, alsmede de tijdstippen waarop deze transactie zijn uitgevoerd.

13. Er zijn adequate procedures en maatregelen ingericht ter voorkomen van ongeautoriseerde aanpassing van de transactievastleggingen als bedoeld in de vorige paragraaf en er is een proces ingericht ten behoeve van periodieke inspectie van de transactievastleggingen teneinde ongeautoriseerde of oneigenlijke toegang, modificatie, duplicatie of verwijdering van Persoonsgegevens tijdig op te merken.

14. Er is een scheiding van verantwoordelijkheden en taken aangebracht tussen medewerkers die zorgdragen voor het beheersen, vastleggen en inspecteren van de toegang tot de Persoonsgegeven en de medewerkers die ten behoeve van de uitoefening van hun functie daadwerkelijk toegang verkrijgen tot de Persoonsgegevens.

15. Bijzondere of anderszins gevoelige Persoonsgegevens alsmede grote verzamelingen Persoonsgegevens worden in versleutelde vorm opgeslagen en worden uitsluitend in versleutelde vorm uitgewisseld bij verzending over niet-vertrouwde netwerken of bij transport op fysieke opslagmedia.

16. De sleutels voor het leesbaar maken van versleutelde Persoonsgegevens worden beheerd in een formeel proces en de toegang tot de sleutels is beperkt tot medewerkers die hiertoe voor de uitoefening van hun functie de beschikking over dienen te hebben.

17. In toepassingssystemen waarop Persoonsgegevens worden verwerkt, inclusief toepassingen die door gebruikers zelf zijn ontwikkeld, zijn beveiligingsmaatregelen ingebouwd ter controle dat de invoer, de interne verwerking en de uitvoer aan vooraf gestelde eisen voldoen.

18. Systemen waarop de verwerking van Persoonsgegevens plaatsvindt zijn voorzien van anti- malware voorzieningen en adequate beveiligingsmaatregelen ten behoeve van de beheersing van de toegang tot deze systemen.

19. Besturingssysteem, systeem- en applicatiesoftware die voor de verwerking van de Persoonsgegevens onder verantwoordelijkheid van Verwerker aangewend wordt, wordt actief gemonitord op kwetsbaarheden in de beveiliging en is voorzien van de laatste software wijzigingen.

20. Software voor webapplicaties die voor de verwerking van de Persoonsgegevens onder verantwoordelijkheid van Verwerker aangewend wordt, is ontworpen, ontwikkeld, getest en geconfigureerd op basis van gangbare normen voor veilige webapplicaties, waaronder OWASP

Bijlage 3

“Meldpunt datalekken en contactpersonen bij het Sectorinstituut”, als bedoeld in artikel 8

Contactgegevens meldpunt datalekken en contactpersoon uit hoofde van artikel 8:

Naam Xxxx Xxxxxxx (directiesecretaris/functionaris gegevensbescherming) Telefoon 0882596126

Mailadres xxxxxxxx@xxxxxxxx.xx

“Procedure Meldplicht Datalekken”

Tussen Partijen zijn met betrekking tot de meldplicht datalekken de volgende afspraken gemaakt:

1) Verwerker registreert alle Beveiligingsincidenten;

2) In geval van een Beveiligingsincident informeert Verwerker Verwerkingsverantwoordelijke onverwijld en zal de relevante informatie over het incident melden aan de hand van de hieronder opgenomen vragenlijst, zodanig dat Verwerkingsverantwoordelijke over de relevante informatie beschikt als nodig voor een eventuele melding bij de AP;

3) Verwerkingsverantwoordelijke zal beoordelen of een melding verricht dient te worden bij de AP. Verwerkingsverantwoordelijke zal daarbij in overleg treden met Verwerker;

4) Voordat Verwerkingsverantwoordelijke de melding bij de AP verricht zal Verwerkingsverantwoordelijke de inhoud van de melding met Verwerker bespreken;

5) Indien Verwerkingsverantwoordelijke oordeelt dat tevens betrokkenen geïnformeerd dienen te worden, zal Verwerkingsverantwoordelijke de inhoud van die informatie met Verwerker bespreken.